Перейти к содержанию

Заново появляющийся вирус doc001


Рекомендуемые сообщения

Здравствуйте после перезагрузки касперский все сново и сново находит вирус doc001.exe, причем все время в одних и тех же местах. Лог CollectionLog-2018.04.16-11.37 прикрепил

Изменено пользователем rashid
Ссылка на комментарий
Поделиться на другие сайты

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

 

 


причем все время в одних и тех же местах.
в каких именно? Случайно не в сетевых папках?

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

У вас видно и остатки от Avast и от Kaspersky Internet Security 15.0.0.

Советую

1) Деинсталировать текущую KIS 17-ю версию, либо вообще касперского для серверов.

2) Зачистить остатки антивирусов https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

3) Поставить Kaspersky Internet Security 18. А судя по тому что у вас там сеть со своим сервером, толучше специальную версию для серверов

Ссылка на комментарий
Поделиться на другие сайты

нет не в сетевых он создает новые папки администратор, 1 и admin:

C:\Documents and Settings\администратор\Start Menu\Programs\Startup\

C:\Documents and Settings\1\Start Menu\Programs\Startup\
C:\Documents and Settings\Admin\Start Menu\Programs\Startup\
C:\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
c:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

 

AutoLogger\CheckBrowsersLNK  Отчёт о работе в прицепе

 

 

ClearLNK-2018.04.16_13.42.26.log

Ссылка на комментарий
Поделиться на другие сайты

Удалите в MBAM всё кроме

Процесс: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5970], [133383],1.0.4750
Модуль: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5970], [133383],1.0.4750
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5970], [133383],1.0.4750

Понаблюдайте за проблемой. Обновления безопасности для XP все установлены?

Ссылка на комментарий
Поделиться на другие сайты

ночью в 2.13 касперский опять 2 файла DOC001.exe в карантин отправил, хотя сетку на ночь отключал.

нашел похожую тему https://forum.kasperskyclub.ru/index.php?showtopic=55958

Ссылка на комментарий
Поделиться на другие сайты

 

 


хотя сетку на ночь отключал.
Что под этим подразумевается? Что выдернули сетевой провод и был отключен как и от локальной сети так и от интернета?

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на комментарий
Поделиться на другие сайты

был отключен как и от локальной сети так и от интернета, сейчас пока активности на этом компе нет, посмотрим завтра....


в 15.45 опять появилось, плюс добавились к тем что я выше прислал еще папки 

 

c:\KADRY4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\doc001.exe
c:\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\doc001.exe
C:\Documents and Settings\KADRY4\Start Menu\Programs\Startup\doc001.exe
C:\Documents and Settings\administrator\Start Menu\Programs\Startup\doc001.exe

вовремя создания папок с вирней появилась подозрительная скрытая папка с ини файлом
c:\Documents and Settings\Экономист\Recent\Desktop.ini
внутри
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12692
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-21
LocalizedResourceName=@shell32.dll,-12691

KADRY4_2018-04-17_14-48-20.7z

Ссылка на комментарий
Поделиться на другие сайты

1) @rashid, у вас установлен Kaspersky Internet Security 15. Он уже устарел, ставьте актуальную версию KIS 18 и проверяйте проблему на ней. Тем более вы её уже скачали

C:\DOCUMENTS AND SETTINGS\ЭКОНОМИСТ\МОИ ДОКУМЕНТЫ\DOWNLOADS\KIS18.0.0.405ABCDEFGRU_13931.EXE

2) Остатки Аваста до сих пор видно

 

 


Зачистить остатки антивирусов https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

3)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.11 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASOUTEXT.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWSMA.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSOSYNC.EXE
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref {8DD448E6-C188-4AED-AF92-44956194EB1F}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {2E38825B-8815-42CF-9126-C58BC28D4591}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
    delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F}\[CLSID]
    delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
    delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
    delref {093F479D-712E-46CD-9E06-62E734A05F68}\[CLSID]
    apply
    
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.


 

4) Проверьте снова проблему, уже со свежей версией антивируса.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LexaXpNet
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • Виталий__-
      Автор Виталий__-
      После обновления с новым навороченным оверлеем начались проблемы. В кратце во время звонка появляются пролаги в играх, то есть идут стальные 120 ФПС и раз в 10 секунд проседает до 90. Если выйти сразу же из звонка и посмотреть несколько минут, но пролагов нет. Именно во время звонка. Я уже все пробовал, и отключал аппаратное ускорение,отключал ОВЕРЛЕЙ (буквально все ползунки, которые там есть), и переустанавливал сотню раз, все одно и тоже. Вообще разницы нет. Решил проблему на время переходом в веб аерсию Дискорде (в браузере), несколько месяцев было все норм, а сейчас перестал работать, скорее всего ркн добрался и до моего региона. Хотя у друзей с моего же города все норм. В веб версии, когда захожу в звонок я слышу собеседника секунд 5-10, а потом все. Меня слышат, а я нет. В общем на знаю что делать
    • belodrol
    • rancol347
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • Hotei
      Автор Hotei
      Появляется после удаления расширение в бразуре "T-cahback", которое я никогда не скачивал. Касперский при проверке ничего не нашёл.
      При этом браузер может раз в 3-4 часа вылететь, иногда с какой-нибудь неизвестной ошибкой. 
×
×
  • Создать...